Europese databeschermingsregels stellen bedrijfsleven voor nieuwe uitdaging

  1. 7 jan 2015
  2. 0 reacties

Europa is flink gevorderd met zijn voorstellen voor nieuwe databeschermingsregels die Europawijd geïmplementeerd zullen gaan worden. Het zijn maatregelen die ook voor het bedrijfsleven de nodige gevolgen hebben. Wat is er precies in de maak en hoe kunnen bedrijven zich daar nu al op voorbereiden? 

Waar gaat het om? 25 januari 2012 werd het startsein gegeven. Het was de dag waarop de Europese Commissie haar voorstellen publiceerde voor een nieuw stelsel van databeschermingsregels, de zogeheten General Data Protection Regulation (GDPR). Doel: een ingrijpende herziening van de bestaande Europese Data Protection Directive uit 1995. In klare taal gesteld: Brussel is bezig met het formuleren en implementeren van een EU-privacywet die zijn weerga niet kent en grote gevolgen gaat hebben voor hoe bedrijven straks hun IT-voorzieningen moeten inrichten.

Kernelementen GDPR

De regels van 1995 stammen uit een tijd waarin het internet nog in de kinderschoenen stond. De snelheid van de technologische ontwikkelingen, in een wereld die meer en meer een dorp wordt, stellen nieuwe eisen op elk vlak. Overheden willen grip houden op destructieve krachten die het stelsel ondermijnen. Bedrijven willen alles weten van hun klanten. Tegelijkertijd willen burgers (wij!) heer en meester blijven over onze eigen data, de data die onlosmakelijk verbonden is aan onze identiteit. In dat krachtenveld is het zonder goede regelgeving voor alle partijen kwaad kersen eten.

Pieter Lacroix, managing director van Sophos Nederland

Maar waar gaat het nu heen met die nieuwe regels, wat betekenen ze voor de burger en waar moeten bedrijven zich op voorbereiden? Voorop staat dat elk individu weer baas wordt over zijn eigen data. Burgers moeten op verzoek volledig inzage kunnen krijgen in alle informatie die door een bedrijf of instelling over hen is vastgelegd, en ook het doel dat er mee is gediend, moet kraakhelder zijn. Ze krijgen het recht ‘to be forgotten’. Dat wil zeggen: indien zij niet meer willen dat hun gegevens worden bewaard en verwerkt, en er geen wettelijke gronden zijn die dat tegenhouden, dienen die gegevens op verzoek direct verwijderd te kunnen worden. Bij overstap van de ene naar de andere serviceprovider moeten ze ook zonder problemen hun persoonlijke gegevens mee kunnen nemen. En gebruiksvoorwaarden moeten in jip-en-janneketaal worden opgesteld en gestandaardiseerd. Maar er is meer.

Personen, bedrijven of instellingen die persoonlijke data van klanten in beheer hebben – in GDPR-termen ‘data controllers’ genoemd – of zij die dat soort data verwerken (‘data processors’) zijn verplicht tot implementatie van dusdanige technische en organisatorische maatregelen, dat de beveiliging in het licht van de te voorziene risico’s zo optimaal mogelijk is gegarandeerd. Dat betreft zaken als handhaving van integriteit, betrouwbaarheid en beschikbaarheid van persoonsgegevens. En mocht zich een incident voordoen, dan moeten de beschikbaarheid van, en de toegang tot die data binnen redelijke termijn weer worden hersteld. Het zijn enigszins vage termen hier en daar, maar de boodschap is duidelijk: zorg dat je ‘state of the art’-technologie implementeert, want zo niet dan word je daar keihard op afgerekend. Niet alleen worden er fikse boetes in het vooruitzicht gesteld (250.000 tot 100 miljoen euro, of een omzet gerelateerde boete van tussen de 0,5 en 5 procent!), maar ook komt er een meldingsplicht indien je persoonsgevoelige data ‘verspeelt’, terwijl je die niet afdoende hebt beschermd.

Maatregelen

Wat kunnen bedrijven nu al doen, om zich voor te bereiden op deze nieuwe regelgeving die boven hun hoofden in Europa wordt uitgerold? Het zal duidelijk zijn dat ieder bedrijf, groot of klein, in het licht van de aanstormende Europese General Data Protection Regulation zijn datamanagement opnieuw aan een zorgvuldige inspectie moet onderwerpen. Verzoeken van klanten omtrent inzage, wijziging en verwijdering van data dient men te honoreren. Daar moeten faciliteiten voor komen. Daarnaast moeten bedrijven en instellingen ervoor zorgen dat ze te allen tijde verantwoording kunnen afleggen over hoe ze met de data van hun klanten zijn omgesprongen. Dat betekent het constant monitoren, evalueren en waar nodig herinrichten van dataverwerkingsprocedures, maar het betekent bovenal het implementeren van ‘state of the art’-technologie ter protectie van de data die je als persoon, bedrijf of overheidsinstelling onder je hoede krijgt. Een van de beste en meest efficiënte wapens die wij daarvoor nu al in handen hebben, is encryptie.

Encryptie heeft zijn diensten reeds bewezen in diverse andere standaard beveiligingsimplementaties, zoals HIPAA (Health Insurance Portability & Acountability Act), PCI DSS (Payment Card Industry Data Security Standard) en SOX (Sarbanes-Oxley). Toch zijn veel bedrijven vaak nog terughoudend met de adoptie van encryptietechnologie. Dat komt omdat het voorheen de IT-performance nogal negatief kon beïnvloeden. Oudere encryptietechnieken deden de IT-processen soms dusdanig vertragen dat het vaak irritaties opwekte bij de gebruiker. Met moderne encryptieproducten, zoals SafeGuard Enterprise van Sophos, is die tijd voorbij. Het biedt protectie én performance. Het volgt de data en biedt bescherming waar die data ook wordt opgeslagen: op de devices van gebruikers, hun shared folders, een USB-stick of in de cloud. Bovendien is deze moderne encryptietechnologie nog heel eenvoudig te managen ook. Doe er uw voordeel mee, zou ik zeggen, als straks de General Data Protection Regulation ook bij u voor de deur staat.

Pieter Lacroix is managing director van Sophos Nederland